National Institute of Standards and Technology (NIST) SP 800-115 Technical Guide to Information Security Testing and Assessment; 

Institute for Security and Open Methodologies (ISECOM) OSSTMM 3 – The Open Source Security Testing Methodology Manual; 

Open Web Application Security Project (OWASP) Testing Guide; 

PTES The Penetration Testing Execution Standard; 

Penetration Testing Framework; 

Center for Internet Security (CIS) Critical Security Controls for Effective Cyber Defense (SANS 

Institute - Top 20 Critical Security Controls); 

ISA/IEC 62443-4-2 Security for Industrial Automation and Control Systems: Technical Security Requirements for IACS Components; 

ISO/IEC 27001:2013 Information technology — Security techniques — Information security management systems — Requirements.

Black box vizsgálat esetén szakértőink minden előismeret és hozzáférési jogosultság nélkül végzik tevékenységüket, a külső támadókhoz hasonlóan nem ismerik az eszköz, rendszer, alkalmazás és hálózat felépítését. A vizsgálati módszer előnye viszonylagos gyorsasága, mivel – mindaddig, amíg releváns sérülékenység, hozzáférést eredményező hiba nem azonosítható – belső információk nélkül, kizárólag a külső hálózatokból, vagy a működés elemzése útján elérhető komponensekre, információkra terjed ki. A vizsgálati módszerrel rendkívül pontos kép alkotható arról, mire lehet képes egy külső támadó. Az előny egyben hátrány is, a módszer nem számol azokkal az akár belső támadókkal, akik a rendszer vonatkozásában – bármely okból – részletesebb ismeretekkel vagy hozzáférési jogosultsággal rendelkeznek (pl. privilegizált felhasználók, fejlesztők, stb.), illetve nem, vagy csak erős korlátozásokkal alkalmas lateral movement-re épülő támadások felderítésére.

Grey box vizsgálat esetén a megbízó a külső támadók által elérhető információkon túl valamilyen többletinformációt, – akár többszintű – jogosultságot biztosít a vizsgálatot végző szakértő számára. A vizsgálatot olyan rendszereken, illetve rendszerkomponenseken célszerű elvégezni, ahol korlátozott, például regisztrációval létrehozható felhasználói hozzáféréssel lehet műveleteket végrehajtani.

White box vizsgálat esetén a megbízó teljes (privilegizált) hozzáférést biztosít az érintett alkalmazáshoz, rendszerhez, megadja annak konfigurációs beállításait. A vizsgálat a konfiguráció biztonsági célú elemzését, felülvizsgálatát, adott esetben – a biztonságkritikus megoldások kiszűrése, azonosítása érdekében – a forráskód elemzését, illetve a rendszer túlterheléses tesztelését (az erőforrások olyan szintű kihasználását, amely mellett a rendeltetésszerű használathoz kapcsolódó kérések kiszolgálása akadályozott, vagy ellehetetlenül) is magában foglalja. A white box metodika hátránya a jelentős idő- és infrastruktúra igény, a vizsgálati módszer jellemzően tesztrendszer alkalmazását igényli, mely sok esetben – a legjobb szándék ellenére is – releváns jellemzőiben eltér a működő, „éles” rendszertől.